Le Group Policy non vengono più applicate dopo il 14 Giugno 2016

Le Group Policy non vengono più applicate dopo il 14 Giugno 2016

A partire dal 14 Giugno 2016 le group policy di dominio potrebbero improvvisamente non venire più applicate a utenti e computer (con sistema operativo Windows 7 o successivo, incluso Windows 10).

In questo scenario gli oggetti GPO su server non sono stati modificati oppure è già stato eseguito un controllo accurato dell’infrastruttura ed eventuali repliche tra domain controller (sono state escluse tutte le comuni problematiche).

Il mancato caricamento dei criteri si verifica in seguito all’installazione, nei computer client, dell’aggiornamento della sicurezza di Windows KB3159398 oppure di eventuali aggiornamenti cumulativi che lo contengono (ad esempio KB3163017 e KB3163018 in Windows 10).
Si possono trovare i dettagli relativi a questo aggiornamento in questa pagina:

https://support.microsoft.com/en-us/kb/3159398

Questa anomalia si verifica perché Microsoft ha introdotto una modifica al meccanismo di applicazione delle group policy allo scopo di incrementare la sicurezza verso la tipologia di attacchi descritti nella Microsoft Security Bulletin MS16-072 quindi sarà ora necessario aggiungere manualmente delle nuove deleghe sull’oggetto GPO.

In questo esempio abbiamo una GPO che viene applicata solo all’utente chiamato “Student” utilizzando unicamente i filtri di sicurezza. Per far tornare a funzionare questa GPO dobbiamo aggiungere manualmente, utilizzando il tab “Deleghe” presente nella console di gestione delle Group Policy, un’autorizzazione in lettura per il gruppo “Computer del dominio” (Domain Computers).

 

GPO non si applica

 

Ovviamente tale modifica non cambierà il comportamento della GPO, che continuerà a venire applicata solo agli utenti inseriti nei filtri di sicurezza.

In tutti i casi in cui la policy viene applicata a determinati computer non si può ovviamente utilizzate il gruppo “Domain Computers”, quindi è necessario inserire invece un’autorizzazione in lettura per il gruppo “Authenticated Users”.

Dopo la modifica si consiglia di eseguire un “gpupdate /force” su tutti i client seguito, se necessario, da un riavvio.
Verificare sempre per sicurezza la corretta applicazione delle policy utilizzando l’utility “gpresult” su un client.

 

ISCRIVITI ALLA NEWSLETTER DI PC-GURU.IT

Grazie all’iscrizione ti informerò ogni volta che pubblicherò un nuovo contenuto.

Non perderti nemmeno un articolo!

Iscriviti alla nostra newsletter inserendo la tua mail qui :


 

 

Author: admin

Share This Post On

Submit a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *